馮 明，陳 倩

（天津易通易聯科技有限公司，天津300000）

1 系統(tǒng)的業(yè)務需求

隨著信息化進程的不斷深入，安全往往是由內而外、逐層遞進，如何在成功建立了資產管理運行機制的基礎上，全面實現終端接入的流程化、標準化和規(guī)范化，在從終端至入網之前就確保其安全性、擴容量與可信度，從而提升網絡整體安全，即已成為企業(yè)亟待探討攻關的重要問題。本文提供的設計方案將可為用戶從根本上解決終端多、信息亂、接入隨意、查找困難等管理問題，并為用戶構建全網終端接入全生命周期的可視、可管、可查看的5W審計平臺。

2 系統(tǒng)設計方案

2.1 產品部署

如圖1所示，在架構復雜的網絡環(huán)境下，本文采取的是雙機熱備部署方案，分別旁路部署在總部主備核心交換機，推薦與現有網絡環(huán)境無縫接合的技術方案，完全遵循在不修改現有網絡結構及配置的情況下完成部署。

圖1 系統(tǒng)的整體設計架構Fig.1 Overall design architecture of the system

2.2 入網流程

產品部署后，工作人員擬將遵循的入網流程即如圖2所示。

圖2 入網工作的的設計流程Fig.2 Design process for network access work

2.3 系統(tǒng)設計

（1）自動化資產統(tǒng)計。純旁路部署到客戶網絡后，在不開啟任何準入策略的情況下，即可實現全網資源的統(tǒng)計，統(tǒng)計信息包含：IP-MAC-VLAN-主機名-終端類型-交換機-端口-操作系統(tǒng)-瀏覽器-分辨率等等。協助用戶建立全網資源統(tǒng)計平臺，其次，協助用戶自動分類網內資源的終端類型，建立全網泛終端的統(tǒng)一展示及管理平臺。

（2）終端快速定位。通過SNMP簡單可網管協議，建立與交換機網絡設備的聯動，自動創(chuàng)建終端與交換機端口對應關系，從而實現了終端快速定位平臺。

（3）自動化用戶信息搜集的管理手段。對于自動化提取的研究來說，需建立流程化、規(guī)范化、標準化的終端接入管控平臺。準入是主要的技術手段，通過強制隔離，友好portal引導，建立實名制ID管理。PC（移動終端）新接入網絡，默認無法與網內通信，打開Web頁面自動portal引導頁面，管理員可指定一次性入網登記、審批的流程，建立終端自動化臺賬管理，實現接入可信。其次，管理員也可定義入網終端輸入用戶名密碼認證方式自動化接入流程，建立動態(tài)的終端接入檔案，動態(tài)的人機對應關系。

（4）多元素綁定。在對信息進行自動統(tǒng)計的基礎上，支持多元素綁定，如IP-MAC-VLAN-主機名-交換機-端口-使用人等信息的綁定。當其中任意參數發(fā)生變化，則將其阻斷，并采取強制隔離的技術手段，使得管理難度降低，并具有可視性。

（5）增值方案-網絡邊界威脅感知。在統(tǒng)計數據的基礎上，可以協助用戶構建網絡邊界威脅感知平臺，自動發(fā)現、告警、定位和阻斷網絡內部未準入的小路由、wireless AP、便攜式WIFI等。及時感知和定位網絡內部的IP地址沖突、廣播風暴等潛在的安全隱患，并于必要時進行主動報警。

（6）增值方案-IP地址管理。除安全功能以外，還集成了運維方面的功能，即IP地址管理平臺，協助用戶建立IP地址自動統(tǒng)計、自動回收、自動下發(fā)的全自動平臺，并且可以完全替換人工Excel表格的統(tǒng)計方式，結合準入功能，建立IP-MAC-使用人-VLAN-交換機端口的自動登記平臺，為用戶提供追溯還原審計平臺。

3 結束語

網絡準入管理系統(tǒng)可為用戶完美解決現有需求，為后期的發(fā)展趨勢提供前瞻性解決方案。本系統(tǒng)采用純旁路部署，可以在保持客戶的原有網絡架構以及原有配置的基礎上，對系統(tǒng)網絡不產生任何影響；具備靈活可混合式的準入技術，可以有效適應各種網絡環(huán)境并且不完全依賴于網絡環(huán)境；系統(tǒng)采用的是無客戶端部署模式；擁有多級指紋綁定機制，智能鑒別仿冒終端；提供特色的終端類型識別功能，實現網絡層準入管理，為用戶打造智能、可視、易用的網絡邊界管理平臺。